WAARSCHUWING: Ransomware Dreiging Hackers misbruiken SonicWall Secure Mobile Access (SMA) 100-serie en Secure Remote Access (SRA) producten met ongepatchte en end-of-life (EOL) 8.x-firmware
Referentie:
Advisory #2020-013
Versie:
1.0
Geïmpacteerde software:
SonicWall SRA 4600/1600 (EOL 2019)
SonicWall SRA 4200/1200 (EOL 2016)
SonicWall SSL-VPN 200/2000/400 (EOL 2013/2014)
SonicWall SMA 400/200 (Supported, in Limited Retirement Mode)
Type:
Credential Theft
Datum:
15/07/2021
Bronnen
Risico’s
Het Centrum voor Cyberveiligheid België (CCB) is op de hoogte van een verhoogde dreiging m.b.t. ransomware. De aanvallen zijn gericht op ongepatchte End-Of-Life SRA & SMA 8.X Remote Access Devices
De hackers maken gebruik van gestolen inloggegevens. De uitbuiting is gericht op een bekende kwetsbaarheid die gepatched werd in nieuwere versies van de firmware.
Organisaties die gebruikmaken van kwetsbare SonicWall-apparaten moeten hun apparaten onmiddellijk bijwerken of loskoppelen en alle wachtwoorden resetten en/of MFA inschakelen!
Organisaties die nalaten de juiste maatregelen te nemen om deze kwetsbaarheden in hun SRA- en SMA 100-serie producten te verhelpen, lopen een acuut risico op een ransomware-aanval.
Aanbevolen acties
SRA 4600/1600 (EOL 2019) / SRA 4200/1200 (EOL 2016) / SSL-VPN 200/2000/400 (EOL 2013/2014)
- Onmiddellijk verbinding verbreken
- Wachtwoorden opnieuw instellen
SMA 400/200 (nog steeds ondersteund, in beperkte uittredingsmodus)
- Onmiddellijk updaten naar 10.2.0.7-34 of 9.0.0.10
- Wachtwoorden opnieuw instellen
- MFA inschakelen
Hoewel deze campagne niet gericht is op SRA/SMA-firmware 8.x, moeten klanten met de volgende producten er ook voor zorgen dat ze de nieuwste versie van de firmware gebruiken om de kwetsbaarheden te verhelpen die begin 2021 zijn ontdekt.
SMA 210/410/500v (Actief ondersteund)
- Firmware 9.x moet onmiddellijk worden bijgewerkt naar 9.0.0.10-28sv of later
- Firmware 10.x moet onmiddellijk worden bijgewerkt naar 10.2.0.7-34sv of hoger.
Algemeen advies
- Het CCB adviseert beheerders van vulnereable SonicWall appliances om het advies van Sonicwall zoals hierboven vermeld op te volgen.
- De CCB adviseert organisaties om de monitoring- en detectiemogelijkheden op te voeren, om verdachte activiteiten te detecteren, zodat er snel gereageerd kan worden in geval van een intrusie.
- De CCB dringt er bij organisaties op aan regelmatig een inventarisatie uit te voeren om EOL appliances tijdig op te sporen en te vervangen door ondersteunde en veilige appliances.